SpringSecurity认证流程

最新推荐文章于 2024-03-04 14:51:21 发布

方思永江

最新推荐文章于 2024-03-04 14:51:21 发布

阅读量173

点赞数

分类专栏： JavaWEB 文章标签： servlet java 开发语言

本文链接：https://blog.csdn.net/qq_46599129/article/details/129229809

版权

JavaWEB 专栏收录该内容

4 篇文章 0 订阅

订阅专栏

认证

SecurityContextHolder:

SecurityContextHolder是认证模块的核心所在，SecurityContextHolder存储着认证过的用户的详情。

securitycontextholder

如果想指定一个已认证用户，最简单的方式就是set SecurityContextHolder

SecurityContext context = SecurityContextHolder.createEmptyContext(); 
Authentication authentication =
    new TestingAuthenticationToken("username", "password", "ROLE_USER"); 
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

同时，如上图，也可以通过SecurityContextHolder获取SecurityContext，再通过SecurityContext获取用户的认证信息

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName();
Object principal = authentication.getPrincipal();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

SecurityContextHolder通过ThreadLocal来存储认证详情，通过FilterChainProxy来保证当一个请求处理完成之后，对应的线程就会被清除，从而保证SecurityContext也被清除。

可以通过设置SecurityContextHolder的Mod来设置线程与context之间的关系，详情参见SecurityContextHolder的JavaDoc

SecurityContext

securityContext包含了认证对象

Authentication

Authentication在SpringSecurity中有两个主要的目的

An input to AuthenticationManager to provide the credentials a user has provided to authenticate. When used in this scenario, isAuthenticated() returns false.（TODO 理解）
用于表示当前已经认证过的用户

Authentication包含：

principal - 用户标识（TODO 待补充）
credentials - 通常是用户的密码
authorities - 用户被授予的权限

GrantedAuthority

用户Role，也就是被授予的权限

（TODO 补充）

Usually the GrantedAuthority objects are application-wide permissions. They are not specific to a given domain object. Thus, you wouldn’t likely have a GrantedAuthority to represent a permission to Employee object number 54, because if there are thousands of such authorities you would quickly run out of memory (or, at the very least, cause the application to take a long time to authenticate a user). Of course, Spring Security is expressly designed to handle this common requirement, but you’d instead use the project’s domain object security capabilities for this purpose.

AuthenticationManager

AuthenticationManager定义了SpringSecurity进行认证操作的API。Authentication被Controller设置到SecurityContextHolder中。

ProviderManager

ProviderManager是AuthenticationManager的最常用的一种实现。它使用一个list来存储配置的所有AuthenticationProvider，然后将认证操作委托给这些provider。

每个Provider都有机会指明认证操作是成功、失败、或自己无法处理，需要丢给下一个Provider处理。如果所有的Provider都无法处理这次认证，那么将会抛出一个ProviderNotFoundException（特殊的AuthenticationException），这个异常表明配置的ProviderManager无法支持当前的认证类型。

providermanager

这种委托方式使得每个AuthenticationProvider都可以处理特定的认证类型，并且保证只暴露出一个ProviderManager的bean

ProviderManager还可以配置一个可选的parent（AuthenticationManager），这个parent会在ProviderManager无法处理对应类型的认证时被调用。这个parent也通常是ProviderManager。

同时，多个ProviderManager也可以配置同一个parent

providermanagers parent

通常情况下，ProviderManager会在返回一个成功的认证请求后清除Authentication对象中的敏感信息。

AuthenticationProvider

AuthenticationProvider会被注入到ProviderManager中，每一个AuthenticationProvider支持特定类型的认证请求。

例如：DaoAuthenticationProvider支持用户名/密码类型的认证请求，JwtAuthenticationProvider 支持JWT token类型的认证请求

Request Credentials with AuthenticationEntryPoint

AuthenticationEntryPoint用于处理：有从客户端发起的请求时，直接返回HTTP响应

例如以下两种场景：

如果客户端在请求资源的request中已经包含了凭证，例如用户名/密码，那么AuthenticationEntryPoint不需要对这个请求做出任何响应。因为在请求中已经包含了凭证了
如果请求发起一个未认证的请求，那么AuthenticationEntryPoint就需要返回对应的response。例如重定向到登录页或返回带有 WWW-Authenticate header 的response

AbstractAuthenticationProcessingFilter

在一个未认证的请求经过AuthenticationEntryPoint处理后，再次请求认证时的流程图如下：

abstractauthenticationprocessingfilter